6.6. 创建修复 Ansible playbook,使系统与特定的基准一致


您可以创建一个 Ansible playbook,其只包含使您的系统与特定基准保持一致所需的修正。此 playbook 更小,因为它没有涵盖已满足要求。创建 playbook 不会以任何方式修改您的系统,您只需为后续应用程序准备一个文件。这个示例使用了健康保险可移植性和责任法案(HIPAA)配置文件。

注意

在 RHEL 8.6 中,Ansible Engine 被 ansible-core 软件包替代,该软件包只包含内置模块。请注意,很多 Ansible 补救使用社区和可移植操作系统接口(POSIX)集合中的模块,它们没有包含在内置模块中。在这种情况下,您可以使用 Bash 补救来作为 Ansible 补救的替代。RHEL 8.6 中的 Red Hat Connector 包括修复 playbook 与 Ansible Core 正常工作所需的 Ansible 模块。

先决条件

  • scap-security-guide 软件包已安装。

流程

  1. 扫描系统并保存结果:

    # oscap xccdf eval --profile hipaa --results <hipaa-results.xml> /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml
  2. 在带有结果的文件中找到结果 ID 的值:

    # oscap info <hipaa-results.xml>
  3. 根据在第 1 步中生成的文件生成一个 Ansible playbook:

    # oscap xccdf generate fix --fix-type ansible --result-id <xccdf_org.open-scap_testresult_xccdf_org.ssgproject.content_profile_hipaa> --output <hipaa-remediations.yml> <hipaa-results.xml>
  4. 查看生成的文件,其中包含在第 1 步中执行扫描过程中失败的规则的 Ansible 修复。查看生成的文件后,您可以使用 ansible-playbook <hipaa-remediations.yml> 命令应用该文件。

验证

  • 在您选择的文本编辑器中,检查生成的 <hipaa-remediations.yml> 文件是否包含在第 1 步中执行的扫描中失败的规则。

其它资源

  • 您系统上的 scap-security-guide (8)oscap (8) 手册页
  • Ansible 文档
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.